Używam ksshaskpass
do dodawania kluczy chronionych hasłem ssh-agent
po zalogowaniu się do KDE, czy jest coś podobnego dla Kerberos?
Używam ksshaskpass
do dodawania kluczy chronionych hasłem ssh-agent
po zalogowaniu się do KDE, czy jest coś podobnego dla Kerberos?
Odpowiedzi:
Chciałbym użyć pam-krb5 .
Na Debianie i Ubuntu tak powinno być apt-get install libpam-krb5
.
Konfiguracja PAM wyglądałaby mniej więcej tak:
auth required pam_unix.so
auth optional pam_krb5.so try_first_pass
lub
auth required pam_unix.so
auth optional pam_krb5.so use_first_pass
w /etc/pam.d/common-auth
.
Pobiera hasło użyte do lokalnego uwierzytelnienia, np. Hasło do /etc/shadow
, a następnie próbuje użyć tego samego hasła, co hasło Kerberos.
Jeśli hasło Kerberos jest takie samo jak hasło systemowe, nie musisz go wpisywać ponownie.
Jeśli twoje hasło Kerberos jest inne niż hasło systemowe, to co się stanie, zależy od tego, czy użyłeś try_first_pass
czy use_first_pass
:
try_first_pass
poprosi o podanie hasła Kerberosuse_first_pass
nie zapyta cię, ale będziesz musiał kinit
później biec samZauważ, że to prawdopodobnie powoduje, że ksshaskpass też jest zbędny, ponieważ możesz również mieć:
auth required pam_unix.so
auth optional pam_ssh.so try_first_pass
auth optional pam_krb5.so try_first_pass
W systemach Debian i Ubuntu wymaga to instalacji libpam-ssh .
try_first_pass
lub w takim przypadku żadna opcja nie powinna działać.
gert
Kontra gertvdijk
.
Zwykle Kerberos byłby zintegrowany z PAM pam_krb5.so. Spróbuje uzyskać bilet Kerberos na podstawie Twojej nazwy użytkownika i hasła, które podasz. Może to również wykorzystać do sprawdzenia, czy możesz się zalogować, ale możesz ustawić ignorowanie, jeśli chcesz tylko bilet. Musi być dodany zarówno jako moduł uwierzytelniania, jak i moduł sesji, prawdopodobnie także hasło, jeśli planujesz zachować synchronizację hasła Kerberos z pulpitem. Jeśli planujesz używać Kerberos do weryfikacji loginu użytkownika, powinieneś również skonfigurować plik keytab pod adresem /etc/krb5.keytab z kluczem host / hostname.example.com@EXAMPLE.COM zamień nazwę hosta i example.com odpowiednio dla twoje środowisko.